Nieuw tijdperk van cyberrisico's vraagt om een nieuwe aanpak van verzekeringen

Het cyberrisicolandschap evolueert snel, cyberaanvallen worden steeds ernstiger en geraffineerder. Hackers gebruiken inmiddels drievoudige afpersingstechnieken en de ransomware-as-a-service heeft de toegangsdrempel voor cybercriminelen verlaagd.

Dit nieuwe risicotijdperk vereist een andere benadering van cyberverzekeringen, zo blijkt uit een nieuwe studie van het Swiss Re Institute.

Kritieke infrastructuur
Bovendien is de kritieke infrastructuur door de toenemende digitalisering kwetsbaarder geworden voor cyberdreigingen, met mogelijke systemische gevolgen als een cyberaanval de levering van schoon water, energie of internetdiensten voor langere tijd zou onderbreken. 

Jérôme Haegeli, hoofdeconoom van Swiss Re Group: "Naarmate cyberaanvallen zijn toegenomen, is ook het bewustzijn van het risico toegenomen en daarmee ook de vraag naar cyberverzekeringen. Door de grote onzekerheid over de verwachte verliezen en de evoluerende aard van het risico is de verzekerbaarheid ervan echter beperkt. Dit beperkt op zijn beurt de marktcapaciteit, wat leidt tot een beschermingsgat van ongeveer 90%."
 
In de studie worden drie verbeteringsgebieden voorgesteld waar de herverzekeringsindustrie kan helpen om cyberrisico's efficiënter te beheren en de verzekerbaarheid te vergroten: meer consistentie en duidelijkheid in de contracten, het gebruik van gestandaardiseerde gegevens en betere modellering, en het identificeren van nieuwe bronnen van kapitaal.
 
Het is van cruciaal belang het inzicht in het risico te verbeteren, aangezien dit zal helpen de algemene blootstelling te beperken en de samenleving weerbaarder te maken tegen cyberaanvallen met verwoestende en mogelijk systemische gevolgen. Het menselijke en genetwerkte karakter van cyber betekent dat het risico zich voortdurend zal ontwikkelen en een gecoördineerde reactie vereist. Het verbeteren van de cyberweerbaarheid vereist samenwerking tussen bedrijven, verzekeraars en overheden.
 
John Coletti, Hoofd Cyber Herverzekering bij Swiss Re: "De cyberverzekeringsmarkt heeft een enorm groeipotentieel. De markt moet echter verder rijpen om ervoor te zorgen dat er voldoende verzekeringsbescherming beschikbaar is. Onze sector kan een sleutelrol spelen door drie kwesties aan te pakken: het verbeteren van gegevens en modellering, het vergroten van de consistentie en duidelijkheid van contracten en het identificeren van nieuwe kapitaalbronnen."
 
De belangrijkste bevindingen uit de publicatie van het Swiss Re Institute over de cyberverzekeringsmarkt zijn:

• Toenemende frequentie en ernst van cyberaanvallen is een belangrijke drijfveer geweest voor de groei van de cyberverzekeringsmarkt. De wereldwijde cyberverzekeringspremies bereikten in 2021 naar schatting 10 miljard USD en het Swiss Re Institute voorspelt een jaarlijkse groei van 20% tot 2025, waarbij de totale premies zullen stijgen tot 23 miljard USD. De markt heeft een aanzienlijk groeipotentieel na deze prognoses. Gezien de geschatte jaarlijkse wereldwijde cyberverliezen van ongeveer 945 miljard USD1 blijft ongeveer 90% van het risico onverzekerd.
• Ondanks de snelle groei blijven de premies slechts een fractie van de jaarlijkse verliezen. Dit is te wijten aan beperkingen inzake verzekerbaarheid: systemische verliezen kunnen herverzekeraars overweldigen, cyberverliezen worden hoofdzakelijk door mensen veroorzaakt en zijn dus niet willekeurig of toevallig, en het risico is moeilijk te kwantificeren wegens beperkingen in verband met gegevens en modellen. Ook het accumulatierisico vormt een uitdaging. Door de verwevenheid van de economie kan één enkele cyberaanval een wijdverspreide impact hebben en mogelijk de hele portefeuille van een herverzekeraar treffen.
• De beperkte verzekerbaarheid beperkt de capaciteit ondanks de groeiende vraag, waardoor de duurzaamheid van de markt in het gedrang komt. Om de verzekerbaarheid te verbeteren en een duurzame markt tot stand te brengen, stelt het Swiss Re Institute drie belangrijke maatregelen voor:

 
1.
Standaardiseren van gegevens en optimaliseren van modellen: cyberrisico's zijn moeilijk te kwantificeren door een gebrek aan gestandaardiseerde gegevens en modelbeperkingen binnen een veranderende risico-omgeving. Toekomstige risico's worden doorgaans afgeleid op basis van gegevens uit het verleden, maar deze aanpak is in de context van cyberrisico's om twee redenen beperkt: een gebrek aan gestandaardiseerde gegevens en informatie uit het verleden is minder bruikbaar in een snel veranderende risico-omgeving. De invoering van cyberbeveiligingsnormen zou de cybergegevens moeten verbeteren wat betreft breedte en transparantie om zinvolle risico-inzichten mogelijk te maken en nauwkeurigere prijsstelling en modellering mogelijk te maken. Herverzekeraars moeten ook investeren in cybertalent om de actuariële en technische vaardigheden te helpen versterken die nodig zijn voor de forensische analyse die deel uitmaakt van acceptatie- en schadebeheercycli.
 
2.
Bijwerken van de polis tekst voor duidelijkheid en consistentie: de relatieve jeugd van de cyberverzekeringsmarkt en de complexiteit van het risico komen tot uiting in een gebrek aan standaardisatie rond uitsluitingsclausules en voorwaarden. Onzekerheid over de verantwoordelijkheden in geval van een cyberramp blijft een belemmering voor extra capaciteit van de sector. Belanghebbenden hebben stappen ondernomen om een aantal van deze problemen op te lossen, maar factoren zoals de toerekening van cybergebeurtenissen blijven een kernprobleem. Door de verantwoordelijkheden te verduidelijken en het inzicht in en de beperking van risico's te ondersteunen, kunnen duidelijkheid en consistentie van contracten leiden tot meer cybercapaciteit.
 
3.
Identificeren van nieuwe kapitaalbronnen: samenwerking tussen de publieke en private sector is essentieel om cyberdreigingen voor kritieke infrastructuur te beperken. Een publiek-privaat partnerschap (PPP)-verzekeringsregeling, waarbij de dekking van systeemrisico's wordt verdeeld tussen verzekeraars en een door de overheid(en) gesteund fonds, is één optie om een deel van de beschermingskloof te dichten. Een andere mogelijkheid is het aanboren van de markt voor aan verzekeringen gekoppelde effecten.
 
 
1 Computerbeveiligingsbedrijf McAfee, The Hidden Costs of Cybercrime, december 2020. 
2 The Geneva Association, Understanding and Addressing Global Insurance Protection Gaps, april 2018.